クラウドフレア社 昨日の事件について報告し、その結果、 13:34 から 16:26 (MSK) まで、Cloudflare、Facebook、Akamai、Apple、Linode、Amazon AWS のインフラストラクチャを含む、グローバル ネットワーク上の多くのリソースへのアクセスに問題が発生しました。 16万サイトにCDNを提供するCloudflareインフラストラクチャの問題 14:02から16:02まで(MSK)。 Cloudflare は、この停止中に世界のトラフィックの約 15% が失われたと推定しています。
問題は BGP ルート リーク。その間、20 のネットワークの約 2400 のプレフィックスが誤ってリダイレクトされました。 漏洩元は、このソフトウェアを使用していたプロバイダー DQE Communications でした。 ルーティングを最適化します。 BGP オプティマイザーは、IP プレフィックスをより小さなものに分割します。たとえば、104.20.0.0/20 を 104.20.0.0/21 と 104.20.8.0/21 に分割します。その結果、DQE Communications は、より優先される多数の特定のルートを保持します。一般的なルート (つまり、Cloudflare への一般的なルートの代わりに、特定の Cloudflare サブネットへのより詳細なルートが使用されました)。
これらのポイント ルートは、別のプロバイダーを介して接続していたクライアントの 396531 つ (Allegheny Technologies、AS701) に通知されました。 Allegheny Technologies は、結果のルートを別の交通プロバイダー (Verizon、AS20) にブロードキャストします。 BGP アナウンスの適切なフィルタリングの欠如とプレフィックス数の制限のため、Verizon はこのアナウンスを拾い、結果として得られた XNUMX プレフィックスをインターネットの残りの部分にブロードキャストしました。 特定のルートの優先順位が一般的なルートよりも高いため、不正なプレフィックスはその粒度により優先順位が高いと認識されていました。
その結果、多くの大規模ネットワークのトラフィックが Verizon 経由で小規模プロバイダー DQE Communications にルーティングされるようになりましたが、DQE Communications は急増するトラフィックを処理できず、崩壊につながりました (その効果は、交通量の多い高速道路の一部を新しいプロバイダーに置き換えることに匹敵します)。田舎道)。
今後同様の事件が起こらないようにするために
:
- 使用する RPKI に基づくアナウンス (BGP オリジン検証、ネットワーク所有者からのみアナウンスを受け入れることができます)。
- すべての EBGP セッションで受信されるプレフィックスの最大数を制限します (最大プレフィックス設定は、20 つのセッション内で XNUMX のプレフィックスの送信を即座に破棄するのに役立ちます)。
- IRR レジストリ (インターネット ルーティング レジストリ。指定されたプレフィックスのルーティングが許可される AS を決定します) に基づいてフィルタリングを適用します。
- ルーターでは RFC 8212 で推奨されているデフォルトのブロック設定 (「デフォルト拒否」) を使用します。
- BGP オプティマイザーの無謀な使用をやめてください。
出所: オープンネット.ru